À propos des correctifs de sécurité de la mise à jour de sécurité 2022-003 pour Catalina

Ce document décrit les correctifs de sécurité de la mise à jour de sécurité 2022-003 pour Catalina.

À propos des mises à jour de sécurité Apple

Dans un souci de protection de ses clients, Apple s’interdit de divulguer, d’aborder ou de confirmer l’existence de failles de sécurité tant qu’une enquête n’a pas été effectuée et que des correctifs ou mises à jour ne sont pas disponibles. Les mises à jour récentes sont répertoriées sur la page Mises à jour de sécurité Apple.

Les documents de sécurité Apple répertorient les vulnérabilités par identifiant CVE dans la mesure du possible.

Pour obtenir des informations supplémentaires en matière de sécurité, consultez la page consacrée à la sécurité des produits Apple.

Mise à jour de sécurité 2022-003 pour Catalina

Publié le 14 mars 2022

AppKit

Disponible pour : macOS Catalina

Conséquence : une application malveillante peut être en mesure de bénéficier de privilèges racine

Description : un problème de logique a été résolu par une meilleure validation.

CVE-2022-22665 : Lockheed Martin Red Team

Entrée ajoutée le 25 mai 2022

AppleGraphicsControl

Disponible pour : macOS Catalina

Conséquence : il est possible qu’une application profite de privilèges élevés

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-22631 : Wang Yu de cyberserval

Entrée mise à jour le mercredi 25 mai 2022

AppleScript

Disponible pour : macOS Catalina

Conséquence : une application peut être en mesure de lire la mémoire restreinte.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2022-22648 : Mickey Jin (@patch1t) de Trend Micro

Entrée mise à jour le mercredi 25 mai 2022

AppleScript

Disponible pour : macOS Catalina

Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner la fermeture inopinée d’une application ou la divulgation du contenu de la mémoire de traitement.

Description : un problème de lecture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-22627 : Qi Sun et Robert Ai de Trend Micro

CVE-2022-22626 : Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible pour : macOS Catalina

Conséquence : le traitement d’un binaire AppleScript malveillant peut entraîner la fermeture inopinée d’une application ou la divulgation du contenu de la mémoire de traitement.

Description : un problème de lecture hors limites a été résolu par une meilleure validation des entrées.

CVE-2022-22625 : Mickey Jin (@patch1t) de Trend Micro

AppleScript

Disponible pour : macOS Catalina

Conséquence : le traitement d’un fichier malveillant peut entraîner l’exécution arbitraire de code.

Description : un problème de corruption de la mémoire a été résolu par une meilleure validation.

CVE-2022-22597 : Qi Sun et Robert Ai de Trend Micro

BOM

Disponible pour : macOS Catalina

Conséquence : une archive ZIP malveillante est susceptible d’outrepasser les vérifications de Gatekeeper.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2022-22616 : Ferdous Saljooki (@malwarezoo) et Jaron Bradley (@jbradley89) de Jamf Software, Mickey Jin (@patch1t)

CUPS

Disponible pour : macOS Catalina

Conséquence : il est possible qu’une application profite de privilèges élevés

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-26691 : Joshua Mason de Mandiant

Entrée ajoutée le 25 mai 2022

Intel Graphics Driver

Disponible pour : macOS Catalina

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème de confusion de types a été résolu par une meilleure gestion des états.

CVE-2022-46706 : Wang Yu de cyberserval et Pan ZhenPeng (@Peterpan0927) d’Alibaba Security Pandora Lab

Entrée ajoutée le 8 juin 2023

Intel Graphics Driver

Disponible pour : macOS Catalina

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème de confusion de types a été résolu par une meilleure gestion des états.

CVE-2022-22661 : Wang Yu de cyberserval et Pan ZhenPeng (@Peterpan0927) d’Alibaba Security Pandora Lab

Entrée mise à jour le 25 mai 2022, mise à jour le 8 juin 2023

Kernel

Disponible pour : macOS Catalina

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème d’écriture hors limites a été résolu par une meilleure vérification des limites.

CVE-2022-22613 : un chercheur anonyme, Alex

Kernel

Disponible pour : macOS Catalina

Conséquence : une application peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème d’utilisation de mémoire libérée a été résolu par une meilleure gestion de la mémoire.

CVE-2022-22615 : un chercheur anonyme

CVE-2022-22614 : un chercheur anonyme

Kernel

Disponible pour : macOS Catalina

Conséquence : un attaquant bénéficiant d’une position privilégiée peut provoquer un déni de service.

Description : un déréférencement de pointeurs null a été résolu par une meilleure validation.

CVE-2022-22638 : derrek (@derrekr6)

Login Window

Disponible pour : macOS Catalina

Conséquence : une personne disposant d’un accès à un Mac peut être en mesure de contourner la fenêtre d’ouverture de session.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2022-22647 : Yuto Ikeda de l’université de Kyushu

Entrée mise à jour le mercredi 25 mai 2022

LoginWindow

Disponible pour : macOS Catalina

Conséquence : un attaquant local peut visualiser le bureau de l’utilisateur précédemment connecté à partir de l’écran de changement rapide d’utilisateur.

Description : un problème d’authentification a été résolu par une meilleure gestion des états.

CVE-2022-22656

MobileAccessoryUpdater

Disponible pour : macOS Catalina

Conséquence : une application malveillante peut être en mesure d’exécuter du code arbitraire avec des privilèges liés au noyau

Description : un problème de corruption de la mémoire a été résolu par une meilleure gestion de cette dernière.

CVE-2022-22672 : Siddharth Aeri (@b1n4r1b01)

Entrée ajoutée le 25 mai 2022

PackageKit

Disponible pour : macOS Catalina

Conséquence : une app malveillante disposant de privilèges racine peut être en mesure de modifier le contenu de fichiers système.

Description : un problème de gestion des liens symboliques a été résolu par une meilleure validation.

CVE-2022-26688 : Mickey Jin (@patch1t) de Trend Micro

Entrée ajoutée le 25 mai 2022

PackageKit

Disponible pour : macOS Catalina

Conséquence : il est possible qu’une application profite de privilèges élevés

Description : un problème de logique a été résolu par une meilleure gestion des états.

CVE-2022-22617 : Mickey Jin (@patch1t)

QuickTime Player

Disponible pour : macOS Catalina

Conséquence : un module est susceptible d’hériter des autorisations de l’application et d’accéder ainsi aux données de l’utilisateur.

Description : ce problème a été résolu par la réalisation de meilleures vérifications.

CVE-2022-22650 : Wojciech Reguła (@_r3ggi) de SecuRing

WebKit

Disponible pour : macOS Catalina

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : un problème de gestion des cookies a été résolu par une meilleure gestion des états.

CVE-2022-22662 : Prakash (@1lastBr3ath) de ThreatNix

Entrée ajoutée le 25 mai 2022

WebKit

Disponible pour : macOS Catalina

Conséquence : le traitement d’un e-mail malveillant peut entraîner l’exécution de code JavaScript arbitraire

Description : un problème de validation a été résolu par un meilleur nettoyage des entrées.

CVE-2022-22589 : Heige de la KnownSec 404 Team (knownsec.com) et Bo Qu de Palo Alto Networks (paloaltonetworks.com)

Entrée ajoutée le 25 mai 2022

WebKit

Disponible pour : macOS Catalina

Conséquence : le traitement d’un contenu web malveillant peut entraîner la divulgation d’informations sensibles de l’utilisateur.

Description : un problème de gestion des cookies a été résolu par une meilleure gestion des états.

WebKit Bugzilla : 232748

CVE-2022-22662 : Prakash (@1lastBr3ath) de ThreatNix

xar

Disponible pour : macOS Catalina

Conséquence : un utilisateur local peut être en mesure d’écrire des fichiers arbitraires.

Description : le traitement des liens symboliques présentait un problème de validation. Ce problème a été résolu par une meilleure validation des liens symboliques.

CVE-2022-22582 : Richard Warren de NCC Group

Remerciements supplémentaires

Intel Graphics Driver

Nous tenons à remercier Jack Dates de RET2 Systems, Inc. et Yinyi Wu (@3ndy1) pour leur aide.

syslog

Nous tenons à remercier Yonghwi Jin (@jinmo123) de Theori pour son aide.

TCC

Nous tenons à remercier Csaba Fitzl (@theevilbit) d’Offensive Security pour son aide.

Les informations se rapportant à des produits non fabriqués par Apple, ou à des sites Web indépendants qui ne sont ni contrôlés ni testés par Apple, sont fournies uniquement à titre indicatif et ne constituent aucune recommandation. Apple ne saurait être tenu responsable de problèmes liés à l’utilisation de tels sites ou produits tiers, ou à leurs performances. Apple ne garantit en aucune façon la fiabilité d’un site Web tiers ni l’exactitude des informations que ce dernier propose. Contactez le fournisseur pour plus d’informations.

Date de publication: